CISA alerta: nova falha crítica no SharePoint (CVE-2026-58644) já sob exploração ativa
CISA adiciona CVE-2026-58644 (SharePoint, CVSS 9.8) ao catálogo KEV após exploração ativa em ambiente real. Agências federais têm 3 dias para aplicar patch; duas falhas de FortiSandbox também entraram na lista.
A CISA adicionou ao catálogo Known Exploited Vulnerabilities (KEV) uma nova falha crítica no Microsoft SharePoint — CVE-2026-58644, com CVSS 9.8 — que já está sendo explorada ativamente no mundo real, apenas dias após ser corrigida no Patch Tuesday de julho de 2026. A vulnerabilidade permite execução remota de código via deserialização de dados não confiáveis. Agências federais americanas têm três dias para aplicar o patch, prazo determinado pela BOD 26-04. Junto com o SharePoint, dois bugs em FortiSandbox da Fortinet também foram incluídos no catálogo.
O que aconteceu
Quando a Microsoft publicou o pacote de correções de julho, a CVE-2026-58644 estava listada como “não explorada”, categoria que costuma dar aos administradores algumas semanas de gordura para planejar a aplicação de patches. Essa margem evaporou em questão de dias: a Microsoft atualizou o advisory reconhecendo exploração detectada em ambiente real, e a CISA — agência de cibersegurança do governo americano — incluiu a falha no catálogo KEV na quinta-feira, apenas 48 horas após emitir o primeiro alerta sobre o risco.
A vulnerabilidade é do tipo deserialization of untrusted data — uma classe de bug que a Microsoft já conhece bem em SharePoint e que voltou a aparecer em três CVEs distintas no mesmo release: além da 58644, o mesmo Patch Tuesday trouxe a CVE-2026-56164 (zero-day que já vinha sendo explorada antes da divulgação) e a CVE-2026-55040 (bypass de segurança crítico que permite divulgação e modificação de arquivos).
A CISA também adicionou ao KEV duas falhas em FortiSandbox — CVE-2026-25089 e CVE-2026-39808 — corrigidas em junho e abril respectivamente. A empresa de inteligência de exploits Defused já havia sinalizado ambas como exploradas em meados de junho, mas o catálogo formal só recebeu a atualização agora.
Detalhes técnicos
Segundo o advisory da Microsoft, o atacante precisa estar autenticado como Site Owner ou nível superior para explorar a CVE-2026-58644 — uma limitação que reduz a superfície mas não a elimina. Contas de Site Owner são amplamente distribuídas em ambientes corporativos, especialmente em SharePoint on-premises usados como intranet colaborativa, e credenciais desse nível aparecem regularmente em dumps de infostealers como Redline, Vidar e o mais recente CrashStealer.
“Em um ataque baseado em rede, um atacante autenticado como pelo menos Site Owner poderia escrever código arbitrário para injetar e executar remotamente no servidor SharePoint.”
Advisory da Microsoft para CVE-2026-58644
Uma vez explorada, a falha entrega controle no nível de conta de serviço do SharePoint — normalmente uma identidade com privilégios elevados no domínio Active Directory, o que abre caminho para movimentação lateral. Em ambientes híbridos com Azure Entra ID conectado, um servidor SharePoint comprometido é um ponto de partida particularmente perigoso para pivotar para a nuvem.
Quem é afetado
- Servidores SharePoint on-premises em todas as edições suportadas na data do Patch Tuesday de julho de 2026
- Ambientes com integração AD/Entra ID — o risco de escalada de privilégio e lateralização é significativo
- Agências federais americanas — obrigadas a aplicar patch em até 3 dias por força da BOD 26-04
- Fornecedores e integradores que hospedam farms SharePoint para clientes governamentais ou regulados
- Usuários de FortiSandbox — CVE-2026-25089 e CVE-2026-39808 exigem patches disponíveis desde junho e abril
Análise
SharePoint está se transformando em fonte recorrente de emergências de patch. Em 2025, a série ToolShell (CVE-2025-53770 e correlatas) provocou paralisação massiva em farms corporativas nos EUA, Europa e Ásia, com grupos ligados à China entre os principais exploradores. Agora, em julho de 2026, o produto voltou a expor três vulnerabilidades críticas no mesmo release, duas delas exploradas antes ou logo após a divulgação. É um padrão: SharePoint acumula décadas de código, muitas superfícies expostas (REST, SOAP, workflows, deserialização), e uma base instalada resistente à migração para o Microsoft 365.
O intervalo entre patch e exploração ativa continua se comprimindo. Adversários estatais e ransomware operators mantêm equipes especializadas em engenharia reversa de patches Microsoft — o tempo médio entre “Patch Tuesday” e “exploit funcional na natureza” caiu de semanas para dias na maioria das falhas de alta severidade. A CVE-2026-58644, migrada em 48 horas de “não explorada” para “no KEV”, ilustra o problema. Para defensores, isso encurta drasticamente a janela de operação — patch mensal deixou de ser cadência segura para bugs de alta severidade.
Comparando com a semana atual, temos wp2shell atacando WordPress no mesmo dia da divulgação, ransomware paralisando a Fairlife, e SharePoint sob fogo — três incidentes em produtos amplamente usados no Brasil. A concorrência por atenção do CISO nunca esteve tão apertada; priorização por criticidade real (KEV + ambiente exposto + credenciais na natureza) é a única forma de manter foco.
Recomendações práticas
- Aplicar Patch Tuesday de julho de 2026 em todos os SharePoint on-premises imediatamente — não esperar janela de manutenção mensal
- Auditar contas com nível Site Owner ou superior; identificar as inativas ou com senhas antigas
- Ativar MFA em todas as contas administrativas do SharePoint e nos sistemas conectados via SSO/Entra ID
- Revisar logs de acesso das últimas duas semanas em busca de padrões anômalos — foco em POSTs para páginas ASPX de administração e endpoints REST
- Aplicar patches para FortiSandbox (CVE-2026-25089 e CVE-2026-39808) se ainda pendentes — bugs conhecidos por Defused desde junho
- Integrar o KEV catalog em pipelines de vulnerability management — inclusão no KEV deve virar SLA agressivo automaticamente, mesmo fora de agências federais
- Reforçar monitoramento de contas de serviço do SharePoint em SIEM, com detecções específicas para deserialização e criação de arquivos ASPX inesperados em pastas do IIS
- Considerar migração para SharePoint Online (Microsoft 365) onde o modelo de operação transfere parte da responsabilidade de patch à Microsoft — decisão estratégica de médio prazo
Fonte: SecurityWeek





